1. 테넌트 전역 정책
Office Portal · Entra ID · OneDrive/SharePoint · Teams
0%
Office Portal
✓
M365 메인 웹 페이지 내 Office 설치 버튼 유지
기본
Entra ID
✓
웹 브라우저 세션 유지 여부 결정 — 외부 웹 로그인 상태 차단 검토
협의 필요
OneDrive / SharePoint
✓
외부 공유 옵션 → 조직 내 사용자만 으로 설정
필수
✓
파일 공유 정책 설정 (편집 허용 여부, 암호, 만료일 1~730일)
필수
✓
OneDrive 파일 동기화 제어 설정 (외부 데이터 유출 방지)
필수
✓
삭제된 사용자 OneDrive 데이터 보존 기간 → 30일 설정
기본값
✓
SharePoint 공용 저장 공간 자동 관리 / 버전 기록 → 100개 제한
기본값
Teams
✓
팀 생성 권한 범위 결정 (지정 인원만 가능 여부)
협의 필요
✓
외부 클라우드 저장소 연동 → 차단
필수
✓
게스트 액세스 → 관리자만 허용 (일반 사용자 초대 차단)
필수
✓
외부 액세스 → 허용된 도메인만 (예: 텔레칩스)
필수
✓
3rd Party 앱 → 차단, M365 기본 앱만 허용
필수
✓
익명 사용자 Teams 모임 참가 → 차단
필수
2. 조건부 액세스 정책
Entra ID Conditional Access · 7개 필수 정책
0%
사전 준비
✓
Entra ID 그룹 생성: [M365] All Users (전체 임직원)
필수
✓
Entra ID 그룹 생성: [M365] All Exception Users (정책 제외 대상)
필수
✓
Named Location 등록: 사내 허용 공인 IP 대역 설정
필수
필수 정책 7개
| # | 정책 명칭 | 적용 대상 | 조건 | 결과 |
|---|---|---|---|---|
| 1 | [ALL] FTE-Windows,MacOS-All(Exclude Office IP)-All-Deny |
전 임직원 | Windows/MacOS + 비신뢰 IP | 차단 |
| 2 | [ALL] FTE-Mobile-All-Web-Deny |
전 임직원 | Android/iOS + 브라우저 | 차단 |
| 3 | [ALL] FTE-Etc-All-All-Deny |
전 임직원 | Windows Phone / Linux | 차단 |
| 4 | [ALL] FTE-All-All-ActiveSync/Etc-Deny |
전 임직원 | Exchange ActiveSync / 기타 클라이언트 | 차단 |
| 5 | [ALL] FTE-Mobile-All-App-Allow (require MAM) |
전 임직원 | Android/iOS + 앱 | MAM 필요 |
| 6 | [ALL] Guest-Mobile-All-Block |
모든 게스트 | Android/iOS/Windows Phone | 차단 |
| 7 | [ALL] FTE-All-All-All-All (require MFA) |
전 임직원 | 모든 디바이스 | MFA 필수 |
✓
정책 1 적용: 비신뢰 IP에서 Windows/MacOS 접근 차단
필수
✓
정책 2 적용: 모바일 웹 브라우저 전체 차단
필수
✓
정책 3 적용: Windows Phone / Linux 접근 차단
필수
✓
정책 4 적용: Exchange ActiveSync 및 레거시 클라이언트 차단
필수
✓
정책 5 적용: 모바일 앱 접근 시 MAM(앱 보호 정책) 요구 조건 연결 확인
필수
✓
정책 6 적용: 게스트 사용자 모바일 전체 차단
필수
✓
정책 7 적용: 전 임직원 MFA 필수 인증 (내부/외부 모두)
필수
접근 시나리오 검증 (테스트)
| 디바이스 / 클라이언트 | 인가 PC (사내) | 인가 PC (사외) | 모바일 앱 | 모바일 웹 | |
|---|---|---|---|---|---|
| Windows | Teams | 허용 | 허용 | MAM 필요 | 차단 |
| Outlook | 허용 | 허용 | MAM 필요 | 차단 | |
| MacOS | Teams | 차단 | 차단 | N/A | N/A |
| Outlook | 차단 | 차단 | N/A | N/A | |
| Android/iOS | Teams | N/A | N/A | MAM 필요 | 차단 |
| Outlook | N/A | N/A | MAM 필요 | 차단 | |
✓
인가된 PC (사내/사외) Windows — Teams/Outlook 접속 허용 확인
테스트
✓
MacOS — Teams/Outlook 앱·브라우저 접속 차단 확인
테스트
✓
Android/iOS 앱(Teams, Outlook) — MAM 적용 후 접속 허용 확인
테스트
✓
Android/iOS 브라우저 — 접속 차단 확인
테스트
✓
게스트 모바일 → 사용 불가 확인 (Intune 라이선스 없음)
테스트
✓
모든 정책 보고서 전용 모드로 먼저 테스트 후 활성화
필수
3. 앱 보호 정책 (MAM)
Intune App Protection · Android / iOS
0%
Android — [M365] Android App Protection Policy
✓
대상 앱: 핵심 Microsoft Apps (모든 디바이스 유형)
필수
✓
백업 방지 → 차단
필수
✓
다른 앱에 조직 데이터 보내기 → 정책 관리된 앱
필수
✓
조직 데이터 복사본 저장 → 차단 (OneDrive for Business, SharePoint만 허용)
필수
✓
다른 앱에서 데이터 받기 → 모든 앱
필수
✓
열기 허용 서비스: OneDrive for Business, SharePoint, 카메라, 사진 라이브러리
필수
✓
잘라내기/복사/붙여넣기 제한 → 붙여넣기에 정책 관리된 앱
필수
✓
화면 캡처 및 Google Assistant → 사용 허용
설정
✓
조직 데이터 암호화 → 필요 (등록 디바이스 포함)
필수
✓
조직 데이터 인쇄 → 차단
필수
✓
최소 PIN 길이: 6자리 / 지문 허용 / 비활성 재정의 시간: 600분
필수
✓
액세스 요구 사항 재확인 간격: 30분
필수
✓
조건부 시작 — 오프라인 유예: 720분 → 액세스 차단 / 90일 → 데이터 초기화
필수
✓
조건부 시작 — 탈옥/루팅 디바이스: 액세스 차단
필수
✓
할당: 포함 [M365] All Users / 제외 [M365] All Exception Users
필수
iOS/iPadOS — [M365] iOS/iPadOS App Protection Policy
✓
대상 앱: 핵심 Microsoft Apps (모든 디바이스 유형)
필수
✓
iTunes/iCloud 백업 → 차단
필수
✓
다른 앱에 조직 데이터 보내기 → 정책 관리된 앱
필수
✓
조직 데이터 복사본 저장 → 차단 (OneDrive for Business, SharePoint만 허용)
필수
✓
타사 키보드 → 차단 (iOS 전용)
필수
✓
잘라내기/복사/붙여넣기 제한 → 붙여넣기에 정책 관리된 앱
필수
✓
조직 데이터 암호화 → 필요
필수
✓
조직 데이터 인쇄 → 차단
필수
✓
최소 PIN 길이: 6자리 / Touch ID 허용 (iOS 8 이상)
필수
✓
할당: 포함 [M365] All Users / 제외 [M365] All Exception Users
필수
핵심 Microsoft Apps 적용 앱 확인
✓
Microsoft Edge (Android / iOS) 앱 보호 정책 포함 확인
확인
✓
Microsoft Office / Excel / PowerPoint (Android / iOS) 포함 확인
확인
✓
Microsoft Outlook (Android / iOS) — 앱 구성 정책 별도 연결 확인
확인
✓
Microsoft OneDrive / OneNote / Lists / Planner (Android / iOS) 포함 확인
확인
✓
Microsoft Launcher / Lens (Android) 포함 확인
확인
4. MIP 레이블 (Microsoft Information Protection)
External · Internal · Confidential 레이블 구성
0%
🔵 External
용도외부 발송 시 암호화 해제
암호화미설정
권한전체 (읽기/편집/인쇄/전달 등)
대상[M365] All Users
마킹없음
🟢 Internal
용도조직 내부 전용 문서
암호화설정
권한전체 (임직원)
대상[M365] All Users
외부발송External 레이블로 변경 후 전달
🔴 Confidential
용도기밀 문서 (작성자 외 뷰어 전용)
암호화설정 (적용 후 변경 불가)
권한읽기 전용 (편집/인쇄/전달 불가)
대상[M365] All Users
마킹없음
External 레이블
✓
레이블 생성: 암호화 미설정 (외부 발송 시 복호화 가능)
필수
✓
사용 권한: VIEW, DOCEDIT, EDIT, PRINT, EXTRACT, REPLY, REPLYALL, FORWARD, EXPORT, OWNER 전체 부여
필수
✓
할당 그룹: [M365] All Users
필수
Internal 레이블
✓
레이블 이름 최종 확정 (협의 필요)
협의 필요
✓
암호화 설정 — 조직 내부 전용, 외부 발송 불가
필수
✓
사용 권한: 임직원 전체 권한 부여 (VIEW, DOCEDIT, EDIT, PRINT, EXTRACT 등)
필수
✓
외부 발송 시 External 레이블로 교체 후 전달 — 사용자 안내 공지
필수
Confidential 레이블
✓
암호화 설정 — 적용 후 작성자 외 레이블 권한 변경 불가
필수
✓
사용 권한: 읽기(VIEW) 및 매크로(DBJMODEL)만 허용, 편집/인쇄/전달/내보내기 거부
필수
✓
할당 그룹: [M365] All Users
필수
레이블 정책 발행
✓
전 임직원 대상 레이블 정책 발행 완료
필수
✓
레이블 사용 가이드 공지 (Internal ↔ Confidential 구분 기준 포함)
필수
✓
External 레이블로 외부 파일 공유 시나리오 테스트
테스트
5. 최종 검증 및 운영 관리
활성화 전 최종 점검 · 예외 관리 · 변경 관리
0%
활성화 전 검증
✓
조건부 액세스 정책 — 보고서 전용 모드로 충분히 검증 후 활성화
필수
✓
MFA 등록 완료 사용자 비율 확인 — 100% 목표
필수
✓
앱 보호 정책 적용 후 모바일 기기에서 데이터 유출 시나리오 테스트
테스트
✓
MAM 미적용 상태에서 모바일 접근 차단 동작 확인
테스트
예외 관리
✓
예외 그룹([M365] All Exception Users) 구성원 최소화
필수
✓
예외 그룹 추가/변경 시 승인 내역 문서화 (팀장/그룹장/부서장 승인)
필수
✓
게스트 계정 — 외부 Teams 액세스 허용 도메인 목록 최신화
필수
변경 관리 및 운영
✓
정책 변경 시 변경 관리 절차 준수 (승인: 팀장/그룹장/부서장)
필수
✓
Named Location(허용 IP) 변경 시 즉시 반영 및 검증 절차 수립
필수
✓
정기적인 Entra ID 로그인 로그 검토 (비정상 접근 탐지)
필수
✓
Intune 디바이스 컴플라이언스 현황 정기 모니터링
필수
✓
Microsoft 365 보안 점수(Secure Score) 기준선 설정 및 추적
권장